手機GSM漏洞引發盜刷 華為李小龍支招:關閉簡訊雲同步
近日,一位豆瓣網友的支付寶等賬號被盜,手機收到了上百條驗證碼,損失慘重。這起事件在網路上引起了熱議,也有不少安全專家分析原因、給出解決方案。
華為手機產品線副總裁李小龍也在微博上支招,建議關閉簡訊雲同步功能、華為手機開啟賬號保護。
簡訊驗證碼被竊取的方式主要有這麼幾個:惡意軟體或病毒,通過簡訊讀取許可權直接獲取簡訊內容;破解手機雲服務賬號,在雲端讀取簡訊驗證碼;GSM網路監聽。
安卓系統中,APP可以獲得簡訊讀取許可權。很多時候,我們在某個APP中需要輸入驗證碼的界面時,系統會自動讀取和填充,這就表示它獲得了簡訊讀取許可權。這種機制省去了手動輸入驗證碼的麻煩,但也造成了安全隱患。現在,MIUI等定製系統已經禁止第三方APP讀取簡訊驗證碼。
?
如今,很多手機廠商提供的雲服務中都包含簡訊備份功能,手機收到的各類簡訊會即時同步到雲端。理論上說,不法分子利用撞庫等方式破解了用戶的賬號後,可以在雲端獲取他們想要的信息。因此,李小龍建議普通用戶關閉簡訊雲同步功能。當然,部分手機廠商已經加強了防範,例如在新設備上登錄賬號時,需要輸入驗證碼才能正常使用雲服務。
至於GSM監聽,則應該是普通用戶最不了解和最難防範的簡訊竊取形式。2G時代的GSM網路在安全機制上就存在問題,它僅有單向鑒權,即基站認證手機,但手機不需要認證基站。因此,不法分子可以通過偽基站等設備來竊取用戶的各類信息、甚至發送偽裝號碼的簡訊。
4G網路已經基本實現普及,但依然有相當一部分人在使用2G網路,通過GSM收發簡訊。在國內來說,雙卡雙待已經成為標配,之前推出的手機副卡可能還是要以2G信號待機,這就形成了漏洞。要從根本上解決這個問題,還是要靠運營商VoLTE和手機雙4G雙VoLTE技術的普及。
更多熱門閱讀:
聯想模塊化旗艦下周到來:同時還有5款機型和5G模塊
谷歌Pixel3或將於10月4日發布:首發安卓9.1的節奏?
移動笑而不語 聯通電信的VoLTE為什麼這麼難普及?
